12億円の請求とか、来たらもう笑うしかないよね
こんにちは!
世間は師走、お歳暮シーズンにもなりますが、 「お歳暮はAmazonギフトカード以外送っちゃダメ」 みたいな条例できないかなと、せつに願っているあらたまです!
みんなしあわせ。みんなハッピー。
さて本記事シリーズ「WebサイトのGDPR対応」では、
Google Analytics
Google Adsense
を使っているWebサイトの
GDRP対応を進めていきたいと思います。
まず今回はあらためて、「GDRP」って何だろうというところから入っていきたいと思います。
ご注意事項 本記事シリーズはGDRPへの対応に関わるプログラムの実装方法の内容を示すものであり、 「ここに記載されたことを実施すればGDRPに確実に適合される」ということを保証するものではありません。 GDRPへの確実な適合については法務担当者や弁護士にご相談のうえ、ご自身でご判断をお願いいたします。
GDRPって?
「General Data Protection Regulation」省略形で、日本語では「EU一般データ保護規則」と言います。
ウィキペディア (Wikipedia): フリー百科事典より引用・抜粋EU一般データ保護規則
欧州議会・欧州理事会および欧州委員会が欧州連合 (EU) 内の全ての個人のためにデータ保護を強化し統合することを意図している。
データの収集および利用目的(第7条、第4条の規定)について、有効な同意が明示的に行われなければならない。(…省略…)データ管理者は"同意"(オプトイン)を証明できる必要があり、その同意は取り消されうる
更新日時 2018年11月28日 (水) 17:21
GDPRは欧州連合 (EU) 内のユーザーの個人情報保護を目的としたものであること。 データの収集・利用には同意が必要であること。 同意の証明ができるようにすること。同意の取り消しもできるようにする必要があること。 などが書いてありますね。
GDRPの指す「個人情報」
これだけだと日本の「個人情報保護法」と変わんないじゃんって思ってしまいますが、 ひとつの大きな違いがその「個人情報」の適用範囲の広さです。
JETRO「EU一般データ保護規則(GDPR)」に関わる実務ハンドブックより引用EU 一般データ保護規則(GDPR)について
個人データ
識別された、または識別され得る自然人(「データ主体」)に関するすべての情報 自然人の氏名
識別番号
所在地データ
メールアドレス
オンライン識別子(IPアドレス、クッキー識別子)
身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因
下から二番目のところで、IPアドレス、クッキー識別子が「個人情報」に含まれていますね。
「Googleアナリティクス」も「Googleアドセンス」もクッキーを使ってユーザーの情報を収集しています。
そのためこれらのサービスを自身のWebサイト上で動かす場合は、動かす前にユーザーの同意を取らなければいけないということになってしまいます。
違反した場合の罰則
さらに日本の「個人情報保護法」との大きな違いに、違反とみなされた場合の過料金額が莫大である、ということです。
ウィキペディア (Wikipedia): フリー百科事典より引用・抜粋EU一般データ保護規則
処罰
(…省略…)
企業の場合、10,000,000ユーロ、または、前会計期間の全世界の売上高の2%のうち、いずれか大きい方の過料(第83条4項)
企業の場合、20,000,000ユーロ、または、前会計期間の全世界の売上高の4%のうち、いずれか大きい方の過料(第83条5項および6項)
更新日時 2018年11月28日 (水) 17:21
「10,000,000ユーロ」、桁数だけでも安くないことはわかりますが、日本円に換算すると約12億円です。
12万円じゃないですよ、12億円です。
もう突然こんな請求がきたら、笑うしかありませんね。
すべてのWebサイトが対象なの?
EUなんて、僕らからすればはるか西のかなた。
はたして、私たちも気にする必要があるのでしょうか。
JETRO「EU一般データ保護規則(GDPR)」に関わる実務ハンドブックより引用GDPR の適用範囲(第 2 条および第 3 条)
GDPRは、管理者、または処理者が EEA域外で設立されたものである場合であっても、以下のいずれかの場合には適用される。 EEAのデータ主体に対して商品またはサービスを提供する場合
EEAのデータ主体の行動を監視する場合
EEAとは「EUを含む欧州経済領域」のことです。
上を読む限り、欧州経済領域にいる人に対して商品やサービスを提供する場合、 あるいはその人の行動を監視する場合、対象となるということですね。
そうなると、日本語で作成した日本国内向けのWebサイトなら気にしなくて大丈夫そうです。 一方でたとえ日本語で作成してあっても、欧州にいる日本人向けにWebサイトを作ったら対象となりそうです。
英語で書いたWebサイトの場合は?
あくまで欧州経済圏内にいる人を対象としているかどうか が判断基準ですので、英語の場合もそこで判断されるようです。
個人情報保護委員会「EU域内にいる個人の個人データを取り扱う企業の皆さまへ」より引用どのような言語や通貨が使用されているか、EU域内の個人に関する言及があるか、 商品やサービスの提供範囲等を考慮して判断され、 単に英語のウェブサイトを載せているだけでは適用されません。
でも「考慮して判断され」って、あいまいな線引きだけに何気に怖いですよね。
万が一に変な難癖付けられて12億とか、笑えません。。
なのでちょっとの手間で済むなら、少しでも不安なら対応していたほうが無難かな、と考えたりしています。
今回はここまでです!
次回からはWebサイトの対応に入っていきたい思います。
次回へ続く